Probleme beim Hochfahren (spoolsrv.exe?)

#1 Der Rechner ist langsam geworden...ausserdem öffnet sich immer ein DOS-Fenster mit der spoolsrv.exe. Ein Scan der Datei liefert allerdings kein Ergebniss...evtl doch was anderes? Oder ich hab Glück und es liegt nur an der Sommerhitze...


ComboFix 07-08-03.4 - "christian" 2007-08-03 12:05:05.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.Wahr
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\cookie.dat


((((((((((((((((((((((((( Files Created from 2007-07-03 to 2007-08-03 )))))))))))))))))))))))))))))))


2007-08-03 12:02 51,200 --a------ C:\WINNT\nircmd.exe
2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\spoolsrv.exe
2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\PSLib.dll
2007-07-22 01:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Escape From Paradise
2007-07-22 01:00 <DIR> d-------- C:\Programme\Sat1 Spiele


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-19 21:58 --------- d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\teamspeak2
2007-06-06 22:01 --------- d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\Skype
2007-06-05 15:39 --------- d-------- C:\Programme\CuteSoft
2007-05-16 17:12 85504 --a--c--- C:\WINNT\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 --a--c--- C:\WINNT\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 --a--c--- C:\WINNT\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a--c--- C:\WINNT\system32\dllcache\inetcomm.dll
2007-05-16 17:11 683520 --a------ C:\WINNT\system32\inetcomm.dll
2007-05-16 17:11 1314816 --a--c--- C:\WINNT\system32\dllcache\msoe.dll
2007-05-08 10:59 3583488 --a--c--- C:\WINNT\system32\dllcache\mshtml.dll
2005-05-26 18:15 439 --a------ C:\Programme\INSTALL.LOG
2005-05-26 16:17 271 ---hs---- C:\Programme\desktop.ini
2005-05-26 16:17 22080 --ah----- C:\Programme\folder.htt


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}]
C:\WINNT\system32\helper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2004-08-04 00:58 C:\WINNT\system32\mobsync.exe]
"Tweak UI"="TWEAKUI.CPL" [2000-06-18 15:03 C:\WINNT\system32\TWEAKUI.CPL]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 23:57]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [2001-07-09 10:50]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [2005-10-10 22:49]
"nwiz"="nwiz.exe" [2005-10-10 22:49 C:\WINNT\system32\nwiz.exe]
"NvMediaCenter"="C:\WINNT\system32\NvMcTray.dll" [2005-10-10 22:49]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 19:35]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"spoolsrv.exe"="C:\WINNT\system32\spoolsrv.exe" [2007-07-23 10:38]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Active Desktop Calendar"="C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe" [2004-07-26 13:16]
"ctfmon.exe"="C:\WINNT\system32\ctfmon.exe" [2004-08-04 00:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
"QIP2005"="C:\Programme\QIP\qip.exe" [2007-07-15 12:43]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 a347bus;a347bus;C:\WINNT\system32\DRIVERS\a347bus.sys
R0 a347scsi;a347scsi;C:\WINNT\system32\Drivers\a347scsi.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINNT\system32\DRIVERS\avipbb.sys
R2 OOCleverCache;O&O CleverCache Pro;"C:\Programme\OO Software\CleverCache\OOCCSVC.exe"
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 CTL511Plus;Video Blaster WebCam 3/WebCam Plus (WDM);C:\WINNT\system32\DRIVERS\webc3vid.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINNT\system32\Drivers\ElbyCDFL.sys
R3 FETNDIS;VIA Rhine Family Fast Ethernet Adapter Driver;C:\WINNT\system32\DRIVERS\fetnd5b.sys
S3 NTSIM;NTSIM;\??\C:\WINNT\system32\ntsim.sys
S3 QV2KUX;Casio-Digitalkamera;C:\WINNT\system32\DRIVERS\qv2kux.sys
S3 SANDRA;SANDRA;\??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\Sandra.sys
S3 sermouse;Serieller Maustreiber;C:\WINNT\system32\DRIVERS\sermouse.sys
S3 ssmdrv;ssmdrv;C:\WINNT\system32\DRIVERS\ssmdrv.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-03 12:08:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="59C9752D79A0948CB78D01A8D8855672F1C993063D400914E7CCEB912509C826D2
F2EF319B8B3AD5CDF8AEDB4E9958EA79A2F65E34BCC536262EF6733F903DD2FEBC9E1
27BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2
F6E667A2D97226D213B5558EDD5E5BE2F6E6679DB7CE019D40AA5C75DCE72723B1289FB59DB9B3441E146C3056BC2ABD10D5
5701C58377CF9D9A8530F3086C6FDA662C60AFC64F72B7FAD48A4EFC44E0AA526B4F3F6110C4AFAD1F55F379911412AA93B49
000282388F1E07C74CF53B127EB65B68BECACF99314E190F495B25B9ACB718374E2631303C8C1953B7B1B7B410BA92879D8596A
F37088D3449541932B45F35C45D373FD88733A294AAD398EABBD34568DB9F799ED0861556017818E7034DE17219A24A8730AA34D
FAF799BD0BB20F3BFD09BA8A15C44E0C819D0BA0875D8BCC596192D98E486A5F5C4C0061F641DD11B62429C66CB546B78C0F4D25
0426625C72B9B05C1A8E0DFB318584D5FDDFD45957CC9F59718AD2D720B507F76E9AE2E6A79543FC4AE0A287EF5E1178A12DBCD8B
328CDD38F9A12310C404DFBBF68A2D365CA660F47E5D0A942F6632E54E8F416D2BF384C2A60B6CDD4C18816676446CBCC18856A2C
EA554C08558FDE02F96CDDEF02B4D996F787FA332F77B0C8048ABEB49A63E88A5E8020D2E0FBF606672940FB3E71989E255E4914632
8393BE2BE5EA5D615E86556B69769E5E364325EC591992B6CAA024DA88E969D81218A3F46205D33864EB4086EE8C595D41CCAB0EDE9
A062F93370F86A6391FEBBDD73FB18BD4DFB72FD65D1368F978332958952E2A51B61425C12D738A48B8F636AAA20BEB71BDFEDE35632
ADCBC028B4CB9BDB7BE44A8740D27FBA3DF341B8D9C1D657D9CCA0F2DB6DDBCD8820D860E3BD208B9F8B219C45C5479838B6A4C752E8
126F9D86EB2C760FBE6B0F53A8EC9FF12E41CCC04849F26B6B0A7A96D871D6E26DDBD0AC3CE74D3EB9781E712FF01CEC4F0293F3191A42F
AE2CDE9FEB6CAC33A6A33CECD0963C1F5FE83A5C91F755EBBFEF79BD0A4027F32164502A14B4ECA7C01B1853D7CC38735AFC0A9ECDFE74
36EAEED9BCF2E55C9D16376D0F4D55AEF3C9AB4FA9071112A7DE50943B50B96F698C2D5E2262CCD141D1D0C7830CCB18B0E97BE4421FB348
7562DD69EBCEEB7FDD095C551D04C09A75D89D22F53D67ACA0CCBF80D8E61FED04A054BFB620F62AD3373F4DB10EB879FE0623EBF9CD13FA
E53FB2D153919240BE7622A2EC82194335F9D408DE820B0EBF5D5628612CDED0C06E4482FC852B991412D5A9F588FAD0B7A49A903A1AFCB50F
2867AF7FC8E590C49356042266F3D126E40694BBAF8F109A99DD56C479586E4AE0963996B8EB8A9C70FAACB80830D8D0AEC8540"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120"

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-03 12:10:29
C:\ComboFix-quarantined-files.txt ... 2007-08-03 12:09

--- E O F ---


-------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:19, on 03.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\Dokumente und Einstellungen\christian\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Helper Class - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - C:\WINNT\system32\helper.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [spoolsrv.exe] C:\WINNT\system32\spoolsrv.exe
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.spacebattle.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2647c98bcfd2c158f022/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117120513562
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://gamescenter.sat1.de/online2/rocket_mania/oberongamesloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 7757 bytes


------------------------------------------------------------

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT\system32

03.08.2007 11:41 2.206 wpa.dbl
03.08.2007 11:40 39.291 nvapps.xml
03.08.2007 11:39 55.080 vsconfig.xml
03.08.2007 11:39 176.637 OODBS.lor
23.07.2007 10:38 782.336 PSLib.dll
23.07.2007 10:38 108.336 MSWINSCK.OCX
23.07.2007 10:38 782.336 spoolsrv.exe
22.07.2007 18:39 279.552 swreg.exe
28.06.2007 09:57 16.256.984 MRT.exe
09.06.2007 06:44 4.254 jupdate-1.6.0_01-b06.log
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll

.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

03.08.2007 12:20 117.550 datfind.txt
1 Datei(en) 117.550 Bytes
0 Verzeichnis(se), 1.171.001.344 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT

03.08.2007 11:40 0 0.log
03.08.2007 11:40 1.845.224 WindowsUpdate.log
03.08.2007 11:40 159 wiadebug.log
03.08.2007 11:40 50 wiaservc.log
03.08.2007 11:39 2.048 bootstat.dat
03.08.2007 08:48 32.608 SchedLgU.Txt
20.07.2007 00:47 109.056 catchme.exe
15.07.2007 22:37 526.221 setupapi.log
13.07.2007 20:06 82.737 DirectX.log
06.07.2007 01:04 116 NeroDigital.ini
17.06.2007 00:11 51.200 nircmd.exe
15.06.2007 09:16 267.968.512 MEMORY.DMP
13.06.2007 11:46 170.287 ntdtcsetup.log
13.06.2007 11:46 926.560 iis6.log
13.06.2007 11:46 338.461 comsetup.log
13.06.2007 11:46 41.682 tabletoc.log
13.06.2007 11:46 45.130 ocmsn.log
13.06.2007 11:46 1.374 imsins.log
13.06.2007 11:46 378.928 tsoc.log
13.06.2007 11:46 21.468 KB929123.log
13.06.2007 11:46 144.089 netfxocm.log
13.06.2007 11:46 57.031 MedCtrOC.log
13.06.2007 11:46 407.683 ocgen.log
13.06.2007 11:46 40.701 msgsocm.log
13.06.2007 11:46 836.039 FaxSetup.log
13.06.2007 11:46 256.386 msmqinst.log
13.06.2007 11:46 96.857 updspapi.log
13.06.2007 11:46 1.374 imsins.BAK
13.06.2007 11:46 18.400 KB935840.log
13.06.2007 11:42 18.142 KB935839.log
13.06.2007 11:42 23.477 KB933566-IE7.log
29.05.2007 22:36 54.156 QTFont.qfn
23.05.2007 10:01 7.575 KB927891.log
17.05.2007 18:24 1.409 QTFont.for
10.05.2007 05:55 17.897 KB931768-IE7.log
10.05.2007 05:54 12.164 KB930916.log
01.05.2007 08:32 174.807 setupact.log

.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT\temp

03.08.2007 11:39 256 ZLT01d8f.TMP
03.08.2007 11:39 256 ZLT01d8b.TMP
13.03.2007 10:30 16.384 Perflib_Perfdata_7fc.dat
3 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 1.170.984.960 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT\Downloaded Program Files

08.08.2006 12:45 576 kavwebscan.inf
27.03.2006 13:00 5.019 swflash.inf
28.11.2005 13:57 135.168 Oberongamesloader.dll
07.11.2005 17:47 257 Oberongamesloader.inf
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
26.05.2005 16:56 65 desktop.ini
25.03.2005 18:17 244 ZylomGamesPlayer.inf
25.02.2005 15:54 2.295 MSC3.inf
03.08.2004 14:51 293 wuweb.inf
10.04.2000 18:12 1.765 fhg.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
12 Datei(en) 147.768 Bytes
0 Verzeichnis(se), 1.170.984.960 Bytes frei
.
.
.

#2 Benenne bitte diese DAteien, falls noetig im abgesicherten Modus um und starte neu

2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\spoolsrv.exe
2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\PSLib.dll

Danach ssolltest du die Datei C:\WINNT\system32\spoolsrv.exe bei Jotti oder Virustotal pruefen. Poste bitte das Errgebniss.

Diesen Eintrag noch bitte in Hijackthis anhaken und fix checked druecken:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Helper Class - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - C:\WINNT\system32\helper.dll (file missing)
__________
MfG Ralf
SEO-Spam Hunter

#3 Dateien problemlos umbenannt und PC neu gestartet. (diemal auch nicht das DOS-Fenster)
Onlinescan liefert (erneut) kein Ergebniss
Die 2 Einträge gefixt

#4 Packe die Dateien

2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\spoolsrv.exe
2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\PSLib.dll

und schicke sie an virus@protecus.de

erstelle danach bitte nochmal alle Reporte neu und poste sie bitte
__________
MfG Ralf
SEO-Spam Hunter

#5 Bevor ich was falsch mache...soll ich dir eine Kopie schicken oder die Dateien quasi ausschneiden?

#6 Eine Kopie schicken, am besten mit rar oder zip gepackt. Die Reporte bitte nicht vergessen
__________
MfG Ralf
SEO-Spam Hunter

#7 Ich glaube jetzt hat es meinen Rechner erledigt....
Bluescreen.... INTERNAL_CORE_ERROR (hieß es glaube ich) wegen avis.sys oder avira.sys oder atapi.sys oder so ähnlich...und nun lässt er sich nicht mehr hochfahren. Der Rechner scheitert am
1.) Auto-Detect of Pri Master
2.) Auto-Detect of Pri Slave

Will dann ne "Boot-Media" haben, die ich nicht hab.

#8 Hm, das bedeutet, der Rechner findet nichteinmal eine Festplatte, oder ist "nur" der Bootbereich defekt?

Im Zweifelsfalle Daten sichern(Ueber Linux oder Win Bootcd) und den Rechner neu Aufsetzen.
__________
MfG Ralf
SEO-Spam Hunter

#9 Ha! Es geht wieder....Staub/Spinnenweben entfernt und Stecker alle kontrolliert...hab zwar nichts gefunden, aber der Rechner läuft wieder...^^
Ist es eigentlich auch normal das ich so viele svchost.exe laufen hab?

E-Mail ist raus
Mache mich nun an die Reporte

------------------------------------------------------------------------------


ComboFix 07-08-03.4 - "christian" 2007-08-06 15:52:26.2 [GMT 2:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.Wahr


((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))


2007-08-03 12:02 51,200 --a------ C:\WINNT\nircmd.exe
2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\spoolsrv110.exe
2007-07-23 10:38 782,336 --a------ C:\WINNT\system32\PSLib110.dll
2007-07-22 01:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Escape From Paradise
2007-07-22 01:00 <DIR> d-------- C:\Programme\Sat1 Spiele


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-19 21:58 --------- d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\teamspeak2
2007-06-06 22:01 --------- d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\Skype
2007-05-16 17:12 85504 --a--c--- C:\WINNT\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 --a--c--- C:\WINNT\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 --a--c--- C:\WINNT\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a--c--- C:\WINNT\system32\dllcache\inetcomm.dll
2007-05-16 17:11 683520 --a------ C:\WINNT\system32\inetcomm.dll
2007-05-16 17:11 1314816 --a--c--- C:\WINNT\system32\dllcache\msoe.dll
2007-05-08 10:59 3583488 --a--c--- C:\WINNT\system32\dllcache\mshtml.dll
2005-05-26 18:15 439 --a------ C:\Programme\INSTALL.LOG
2005-05-26 16:17 271 ---hs---- C:\Programme\desktop.ini
2005-05-26 16:17 22080 --ah----- C:\Programme\folder.htt


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2004-08-04 00:58 C:\WINNT\system32\mobsync.exe]
"Tweak UI"="TWEAKUI.CPL" [2000-06-18 15:03 C:\WINNT\system32\TWEAKUI.CPL]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 23:57]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [2001-07-09 10:50]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [2005-10-10 22:49]
"nwiz"="nwiz.exe" [2005-10-10 22:49 C:\WINNT\system32\nwiz.exe]
"NvMediaCenter"="C:\WINNT\system32\NvMcTray.dll" [2005-10-10 22:49]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 19:35]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"spoolsrv.exe"="C:\WINNT\system32\spoolsrv.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Active Desktop Calendar"="C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe" [2004-07-26 13:16]
"ctfmon.exe"="C:\WINNT\system32\ctfmon.exe" [2004-08-04 00:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
"QIP2005"="C:\Programme\QIP\qip.exe" [2007-07-15 12:43]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 a347bus;a347bus;C:\WINNT\system32\DRIVERS\a347bus.sys
R0 a347scsi;a347scsi;C:\WINNT\system32\Drivers\a347scsi.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINNT\system32\DRIVERS\avipbb.sys
R2 OOCleverCache;O&O CleverCache Pro;"C:\Programme\OO Software\CleverCache\OOCCSVC.exe"
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 CTL511Plus;Video Blaster WebCam 3/WebCam Plus (WDM);C:\WINNT\system32\DRIVERS\webc3vid.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINNT\system32\Drivers\ElbyCDFL.sys
R3 FETNDIS;VIA Rhine Family Fast Ethernet Adapter Driver;C:\WINNT\system32\DRIVERS\fetnd5b.sys
S3 NTSIM;NTSIM;\??\C:\WINNT\system32\ntsim.sys
S3 QV2KUX;Casio-Digitalkamera;C:\WINNT\system32\DRIVERS\qv2kux.sys
S3 SANDRA;SANDRA;\??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\Sandra.sys
S3 sermouse;Serieller Maustreiber;C:\WINNT\system32\DRIVERS\sermouse.sys
S3 ssmdrv;ssmdrv;C:\WINNT\system32\DRIVERS\ssmdrv.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-06 15:55:42
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="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"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120"

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-06 15:58:04
C:\ComboFix-quarantined-files.txt ... 2007-08-06 15:57
C:\ComboFix2.txt ... 2007-08-03 12:10

--- E O F ---

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT\system32

06.08.2007 15:47 1.373.314 TheIncredibl.zip
06.08.2007 15:43 2.206 wpa.dbl
06.08.2007 15:42 39.291 nvapps.xml
06.08.2007 15:41 55.080 vsconfig.xml
06.08.2007 15:40 179.256 OODBS.lor
23.07.2007 10:38 782.336 PSLib110.dll
23.07.2007 10:38 108.336 MSWINSCK.OCX
23.07.2007 10:38 782.336 spoolsrv110.exe
22.07.2007 18:39 279.552 swreg.exe
28.06.2007 09:57 16.256.984 MRT.exe
09.06.2007 06:44 4.254 jupdate-1.6.0_01-b06.log
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 09:42 822.784 wininet.dll
25.04.2007 09:42 232.960 webcheck.dll
25.04.2007 09:42 1.152.000 urlmon.dll
25.04.2007 09:42 102.400 occache.dll
25.04.2007 09:42 670.720 mstime.dll
25.04.2007 09:42 105.984 url.dll
25.04.2007 09:42 193.024 msrating.dll
25.04.2007 09:42 477.696 mshtmled.dll
25.04.2007 09:41 52.224 msfeedsbs.dll
25.04.2007 09:41 459.264 msfeeds.dll
25.04.2007 09:41 1.824.768 inetcpl.cpl
25.04.2007 09:41 27.648 jsproxy.dll
25.04.2007 09:41 267.776 iertutil.dll
25.04.2007 09:41 6.058.496 ieframe.dll
25.04.2007 09:41 44.544 iernonce.dll
25.04.2007 09:41 384.512 iedkcs32.dll
25.04.2007 09:41 383.488 ieapfltr.dll
25.04.2007 09:41 124.928 advpack.dll
25.04.2007 09:41 153.088 ieakeng.dll
25.04.2007 09:41 132.608 extmgr.dll
25.04.2007 09:41 230.400 ieaksie.dll
24.04.2007 16:26 13.824 ieudinit.exe
24.04.2007 11:58 56.832 ie4uinit.exe
24.04.2007 09:34 161.792 ieakui.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 17:53 1.058.304 kernel32.dll
04.04.2007 14:05 4.212 zllictbl.dat
04.04.2007 13:40 257.456 FNTCACHE.DAT

2399 Datei(en) 512.269.488 Bytes
0 Verzeichnis(se), 1.063.727.104 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

06.08.2007 16:00 117.610 datfind.txt
06.08.2007 15:44 512 ~DFB955.tmp
06.08.2007 15:44 65.536 ~DFB8E6.tmp
3 Datei(en) 183.658 Bytes
0 Verzeichnis(se), 1.063.739.392 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT

06.08.2007 15:41 0 0.log
06.08.2007 15:41 1.903.175 WindowsUpdate.log
06.08.2007 15:41 159 wiadebug.log
06.08.2007 15:41 50 wiaservc.log
06.08.2007 15:41 2.048 bootstat.dat
06.08.2007 00:36 32.608 SchedLgU.Txt
20.07.2007 00:47 109.056 catchme.exe
15.07.2007 22:37 526.221 setupapi.log
13.07.2007 20:06 82.737 DirectX.log
06.07.2007 01:04 116 NeroDigital.ini
17.06.2007 00:11 51.200 nircmd.exe
15.06.2007 09:16 267.968.512 MEMORY.DMP
13.06.2007 11:46 170.287 ntdtcsetup.log
13.06.2007 11:46 926.560 iis6.log
13.06.2007 11:46 338.461 comsetup.log
13.06.2007 11:46 41.682 tabletoc.log
13.06.2007 11:46 45.130 ocmsn.log
13.06.2007 11:46 1.374 imsins.log
13.06.2007 11:46 378.928 tsoc.log
13.06.2007 11:46 21.468 KB929123.log
13.06.2007 11:46 144.089 netfxocm.log
13.06.2007 11:46 57.031 MedCtrOC.log
13.06.2007 11:46 407.683 ocgen.log
13.06.2007 11:46 40.701 msgsocm.log
13.06.2007 11:46 836.039 FaxSetup.log
13.06.2007 11:46 256.386 msmqinst.log
13.06.2007 11:46 96.857 updspapi.log
13.06.2007 11:46 1.374 imsins.BAK
13.06.2007 11:46 18.400 KB935840.log
13.06.2007 11:42 18.142 KB935839.log
13.06.2007 11:42 23.477 KB933566-IE7.log
29.05.2007 22:36 54.156 QTFont.qfn
23.05.2007 10:01 7.575 KB927891.log
17.05.2007 18:24 1.409 QTFont.for
10.05.2007 05:55 17.897 KB931768-IE7.log
10.05.2007 05:54 12.164 KB930916.log
01.05.2007 08:32 174.807 setupact.log
25.04.2007 12:34 4.096 d3dx.dat
11.04.2007 22:04 17.062 KB931784.log
11.04.2007 22:03 15.007 KB931261.log
11.04.2007 22:03 15.328 KB930178.log
11.04.2007 22:03 16.331 KB932168.log
04.04.2007 09:23 13.782 KB925902.log
14.03.2007 00:05 8.679 KB929399.log
14.03.2007 00:02 12.015 KB929338.log
13.03.2007 22:06 83.433 wmsetup.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe
06.03.2007 17:24 287.802 ntbtlog.txt
28.02.2007 16:30 20.772 KB928090-IE7.log
28.02.2007 15:41 42.256 spupdsvc.log
28.02.2007 15:31 3.816 wmsetup10.log
28.02.2007 15:31 13.722 KB926239.log
28.02.2007 15:30 11.755 MSCompPackV1.log
28.02.2007 15:30 25.859 wmp11.log
28.02.2007 15:29 340 win.ini
28.02.2007 15:28 32.504 WMFDist11.log
28.02.2007 15:28 316.640 WMSysPr9.prx
28.02.2007 15:26 18.170 Wudf01000Inst.log
28.02.2007 15:02 18.045 KB929969.log
28.02.2007 14:38 26.311 ie7_main.log
28.02.2007 14:33 62.859 ie7.log
28.02.2007 14:29 12.751 IDNMitigationAPIs.log
28.02.2007 14:29 12.406 NLSDownlevelMapping.log
28.02.2007 14:28 10.773 KB915865.log
28.02.2007 14:26 6.102 KB914440.log
28.02.2007 14:26 29.380 KB928090.log
28.02.2007 14:25 12.041 KB904942.log
28.02.2007 13:20 16.073 WgaNotify.log
28.02.2007 13:10 6.066 DPINST.LOG

254 Datei(en) 284.668.078 Bytes
0 Verzeichnis(se), 1.063.727.104 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT\temp

06.08.2007 15:41 16.384 Perflib_Perfdata_128.dat
06.08.2007 15:41 256 ZLT040c1.TMP
06.08.2007 15:41 256 ZLT040be.TMP
3 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 1.063.723.008 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: C4D1-5F01

Verzeichnis von C:\WINNT\Downloaded Program Files

08.08.2006 12:45 576 kavwebscan.inf
27.03.2006 13:00 5.019 swflash.inf
28.11.2005 13:57 135.168 Oberongamesloader.dll
07.11.2005 17:47 257 Oberongamesloader.inf
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
26.05.2005 16:56 65 desktop.ini
25.03.2005 18:17 244 ZylomGamesPlayer.inf
25.02.2005 15:54 2.295 MSC3.inf
03.08.2004 14:51 293 wuweb.inf
10.04.2000 18:12 1.765 fhg.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
12 Datei(en) 147.768 Bytes
0 Verzeichnis(se), 1.063.723.008 Bytes frei
.
.
.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:46, on 06.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\QIP\qip.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\christian\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [spoolsrv.exe] C:\WINNT\system32\spoolsrv.exe
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.spacebattle.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2647c98bcfd2c158f022/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117120513562
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://gamescenter.sat1.de/online2/rocket_mania/oberongamesloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 7562 bytes

#10 Schicke die Datei bitte nochmal an virus@rokop-security.de
__________
MfG Ralf
SEO-Spam Hunter

#11 Ah, die Dateien sind da. Du kannst die beiden Dateien Loeschen. Du hattest Glöueck. Das was dir da Untergeschoben wurde ist defekt. Sprich die beiden Dateien lassen sich nicht starten, da der Aufbau der Dateien das nicht zulaesst. Es haette aber anscheinend ein Server werden sollen, wenn sie korekt heruntergeladen worden waere....
__________
MfG Ralf
SEO-Spam Hunter

#12 Super.
Sind gelöscht....das ich mehrere svchost.exe laufen hab ist normal?

#13 Ja, das mit den svchost Dateien ist nrmal. Es haengt davon ab, welche Dienste du gestartet hast. Variiert von installation zu installation.
__________
MfG Ralf
SEO-Spam Hunter